Poste auch mal den mal einen Auszug aus der mwav.log, Datei, der ungefähr so aussieht(befindet sich unten) :

Total Objects Scanned: xxxx
Total Virus(es) Found: x
Total Disinfected Files: x
Total Files Renamed: x
Total Deleted Objects: x
Total Errors: x
Time Elapsed: hh:mm:ss
Virus Database Date: yyyy/mm/dd
Virus Database Count: xxxxxxxxxx


Das dient nur dazu, um zu prüfen, ob Escan richtig ausgeführt wurde.

Lösche alle Funde von Escan im abgesicherten Modus und poste danach einen neuen Log, aber aus dem normalen Modus.

Edit:

Solltest du nicht alle Dateien finden:

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Einstellungen danach wieder rückgängig machen.

Danke Cronos,

da habe ich für eine Weile Beschäftigung.
Melde mich am Samstag wieder, wenn ich durch bin mit den Löscharbeiten und einem neuen Scan.

Gruß

Lothar

Der Auszug aus der mwav. log wäre noch interessant.
BTW: Warum meinst du solange dafür zu brauchen 5 Dateien zu löschen?

Hallo,

Cronos - Du hattest wohl schon richtig vermutet, daß mein log nicht alle Funde umfaßte. Habs dann beim Überprüfen gemerkt. Die Liste war deutlich länger.

Die im Scan erkannten infizierten Dateien habe ich gelöscht, soweit ich sie finden konnte. Blauer Bildchirm und smitfraud - Meldung sind unverändert vorhanden.
Der neue log aus dem normalen Modus ist anbei.

Sat Apr 30 08:27:44 2005 => ***** Scanning complete. *****
Sat Apr 30 08:27:44 2005 => Total Objects Scanned: 24423
Sat Apr 30 08:27:44 2005 => Total Virus(es) Found: 3
Sat Apr 30 08:27:44 2005 => Total Disinfected Files: 0
Sat Apr 30 08:27:44 2005 => Total Files Renamed: 0
Sat Apr 30 08:27:44 2005 => Total Deleted Objects: 0
Sat Apr 30 08:27:44 2005 => Total Errors: 3
Sat Apr 30 08:27:44 2005 => Time Elapsed: 00:55:23
Sat Apr 30 08:27:44 2005 => Virus Database Date: 2005/04/28
Sat Apr 30 08:27:44 2005 => Virus Database Count: 127611

Sat Apr 30 08:27:44 2005 => Scan Completed.

File System Found infected by "peopleonpage Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\ieatgpc.dll infected by "not-a-virus:AdWare.WebEx.b" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\load.exe infected by "Trojan-Downloader.Win32.Small.vg" Virus. Action Taken: No Action Taken.

Kann mir jemand helfen, wie ich meinen Rechner wieder sauber bekomme?

smitfraud und die 3 Viren unten.

Danke im voraus

@ low-tar

Diesen Lösungsweg abarbeiten -> http://www.trojaner-board.de/showpos...9&postcount=51

Zitat:

C:\WINNT\Downloaded Program Files\ieatgpc.dll und C:\WINNT\Downloaded Program Files\load.exe

Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.

Hallo - danke für diesen Tipp.
Jetzt ist mein scan zwar sauber -
aber der blaue Desktop mit der Smitfraud-Meldung ist unverändert da.
Nachstehend der mvav scan:


Sun May 01 13:48:34 2005 => ***** Scanning complete. *****
Sun May 01 13:48:34 2005 => Total Objects Scanned: 24436
Sun May 01 13:48:34 2005 => Total Virus(es) Found: 0
Sun May 01 13:48:34 2005 => Total Disinfected Files: 0
Sun May 01 13:48:34 2005 => Total Files Renamed: 0
Sun May 01 13:48:34 2005 => Total Deleted Objects: 0
Sun May 01 13:48:34 2005 => Total Errors: 3
Sun May 01 13:48:34 2005 => Time Elapsed: 01:01:34
Sun May 01 13:48:34 2005 => Virus Database Date: 2005/04/28
Sun May 01 13:48:34 2005 => Virus Database Count: 127611

Sun May 01 13:48:34 2005 => Scan Completed.


Mein HijackThis logfile sieht jetzt wie folgt aus:
Logfile of HijackThis v1.99.1
Scan saved at 14:00:38, on 01.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\ircomm2k.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\SXCPL.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE SP2 AddOn - {5886E988-6274-4CE5-8C66-A9D64FD5EA0D} - C:\WINNT\system32\spvej.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SXCPL] SXCPL.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - Global Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://www.anonymizer.com/anti-spywa...ner/WebAAS.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://intercall.webex.com/client/v...ex/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BCF4D04-1CBC-416D-B6B4-558F5EBBFCF7}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A6442D9-4E1D-4010-8830-13134073231C}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.10.1.99
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.10.1.99
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.10.1.99
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINNT\system32\ircomm2k.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe


Kann mir jemand weiterhelfen?
Danke im voraus + Gruß

hallo,allerseits, der smidfraut hat's in sich gehabt.


Vorweg: alles wierder OK!!!!!

gern helf ich.

Zur Sache: Meldung wie oben, nicht wegzukriegen und DESKTOP nicht einstellbar bzw weg.

AVWIN hat's nicht geschafft, Sophos hat zwar gefunden, aber nicht gelöscht und alter Zustand war immer noch da. (mit der Meldung s.o.)

Also in den Sauren (hab ich jetzt gekauft!) gebissen und erstmal Kasperski testversion geladen.
Erfolg!!!! Trojaner ist gefunden und weg!!!!!

Jedoch alter Zustand- Desktop weg - und Bildschirm, zwar mit Symbolen, aber schwarzer Hintergrund.

Zur Lösung: wp.exe im Root erstmal gelöscht!!! (macht kaperski) bzw manuell.

Dann in der Registry 3 kleine Punkte geändert. Neustart, alles wieder I.O. Bin zufrieden.

Als "Laie" helf ich gern, war einfach.

XP SP2

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer - noActiveDesktopChanges auf 0 setzen
2.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System - noDispAppearancePage auf 0 setzen und darunter NoDispBackgroundPage auch auf 0 setzen. Zuletzt noch darunter den Schüssel Wallpaper C:/wp.exe löschen. fertig! Neustart. Bei mir ist alles wieder ok.

Fachleute hier finden villeicht nochmehr, was zu tun ist.

ulrich.karschny@t-online.de

Hallo ulli123,

dann les mal aufmerksam meine Posts durch, ob du Ähnlichkeiten zu deiner Version feststellen kannst!